在瀏覽器中顯示XSS

Question

我正在構建一個可檢索任何類型的用戶輸入的應用程序，即使用戶放置了xss注入代碼也是如此。 除了提供管理員視圖以顯示用戶輸入內容的全部內容外，他們還可以輸入html代碼，bb代碼，xss，javascript等（類似於分析目的）。

我認為htmlentities（$ data，ENT_QUOTES）足以滿足要求，但是在閱讀https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet之后，我感到更加困惑。

我不想刪除任何標簽或腳本，我只想用轉義符將其顯示在html中。 如果將其放在textarea標簽上，是否可以保存？ 我的意思是，如果數據包含xss，則在文本中是否將不執行？

<textarea name="comment" rows="30" cols="100"><?php echo htmlentities($data, ENT_QUOTES); ?></textarea>

或有任何安全的方式在瀏覽器上顯示xss，但自身未執行的xss。

對不起，我的英語不好。

謝謝

Answer 1

如果您的管理員打開特制用戶輸入，則您發布的代碼容易受到XSS的攻擊，攻擊者可以獲得該頁面的管理權限。 將用戶代碼放在textarea或任何其他標簽中並不能防止XSS攻擊。 黑客要做的就是在輸入中關閉textarea標簽，然后做他想做的任何事情。

我很高興您找到了owasp速查表:)它非常有用，您應該遵循它。 請記住以轉義放置在頁面上的所有用戶輸入。

我建議使用htmlspecialchars ，然后使用此處提供的標簽做一些測試。 如果您看不到JS警報，則您的應用程序在某種程度上受到了xss攻擊的保護。